Les tendances en matière de cybersécurité pour 2024

L’année 2023 a été riche en événements sur le marché de la cybersécurité. Comment les RSSI peuvent-ils défendre leurs entreprises face à des cyberattaques toujours plus sophistiquées et en évolution constante ? Chez Outpost24, nous avons demandé à cinq experts de mettre en lumière les principales tendances à surveiller en matière de cybersécurité pour 2024.

Environnement de la cybersécurité

Les cyberattaques alimentées par l’IA ne sont pas près de disparaître. L’année 2023 a véritablement consacré la naissance de l’IA. Alors que de nombreux grands acteurs développent leurs plateformes d’IA générative à un rythme alarmant, nous continuerons à la voir utilisée comme un avantage en matière de sécurité – mais également comme une menace. Nous avons vu des logiciels malveillants intelligents pilotés par l’IA capables de s’adapter et d’évoluer afin d’éviter d’être détectés. Tout comme ChatGPT, les outils malveillants qui exploitent l’IA à des fins malveillantes ne sont pas près de disparaître. Avec la montée en puissance d’outils tels que ChatGPT, nous avons assisté à une augmentation des ventes clandestines de logiciels malveillants alimentés par l’IA. Ces produits peuvent jailbreaker les modèles d’IA ou être modelés  sur des ensembles de données spécifiques, y compris des logiciels malveillants et potentiellement des données du dark web. Il en résulte des applications d’IA clandestines : logiciels malveillants, contenus d’hameçonnage, etc. (Darren James, Chef de produit, Access Risk / Victor Acin, Responsible, Threat Intel)

Les groupes d’acteurs de la menace continueront à trouver de nouveaux moyens de distribuer les données volées. Les nouvelles stratégies de distribution des logiciels malveillants et des fichiers volés reposent sur les réseaux peer-to-peer et les services alternatifs, ce qui aura une incidence sur l’efficacité de la double et de la triple extorsion. De nombreux groupes, en particulier ceux qui proposent des solutions « ransomware-as-a-service », développent de nouveaux moyens de distribution des données volées vers leurs clients. Le coût de la maintenance de leur propre infrastructure de partage de fichiers augmente avec la quantité de données volées et les rend vulnérables aux attaques. Certains groupes sont passés à la distribution des données volées en utilisant Torrent. Suite à la fermeture d’AnonFiles, de nombreux acteurs de la menace ont été contraints de passer à d’autres services. Certains ont également opté pour des systèmes peer-to-peer comme IPFS pour partager leurs données volées et distribuer des logiciels malveillants. (Victor Acin, Responsable de Threat Intel)

Les attaques par « rebond » vont s’aggraver avant de s’améliorer. Les attaques par rebond (également appelées les attaques par la chaîne d’approvisionnement) sont en augmentation depuis quelques années, et avec la tendance actuelle du marché selon laquelle les entreprises cherchent à externaliser les solutions qu’elles ne veulent pas construire elles-mêmes, cela ne devrait pas s’arrêter de sitôt. La consolidation des fournisseurs est une stratégie judicieuse à bien des égards. Toutefois, elle présente également un risque accru, car le fait d’être un point de défaillance unique en fait une option plus attrayante pour les attaquants. Pour les acteurs de la menace qui cherchent à compromettre les entreprises, s’attaquer aux fournisseurs tiers leur permet également de multiplier les résultats de leurs efforts, le succès se traduisant généralement par des dizaines voire des milliers de clients compromis. (Victor Acin, Responsable de Threat Intel)

La cyberdéfense alimentée par l’IA pour défendre les entreprises et les consommateurs. Lesacteurs du marché de la cybersécurité proposeront des assistants virtuels dotés d’IA. Des défenseurs de première ligne aideront à « piloter » les solutions, en menant des activités de type analytique – comme l’obtention de renseignements supplémentaires ou d’informations sur les actifs, la lutte contre la fatigue des alertes MFA (MFA bombing attack) grâce au tri  et la diminution du nombre de faux positifs, l’élaboration de plans d’action, la rationalisation des trajectoires de remédiation, etc. L’ingénierie de la détection est en train d’émerger pour aider à construire des aptitudes information sur les menaces. Par exemple, la détection en tant que code (DaC) permet aux SecOps de détecter les TTP et les attaques avancées – le code permettant la détection et la chasse aux menaces. Quant aux utilisateurs finaux (consommateurs), ils seront de plus en plus nombreux à envisager d’adopter une solution de cybersécurité personnelle à des fins de supervision (pensez au phishing, au smishing, etc., ce qui est un risque <> ce qui est acceptable). En bref, ce qui fonctionne aujourd’hui ne fonctionnera pas nécessairement demain. Les solutions basées sur l’IA permettent de suivre le rythme rapide de l’évolution de la cybersécurité. (Stijn Vande Casteele, Expert EASM)

Le manque de compétences en cybersécurité va stimuler la demande de services managés. La demande d’un très haut niveau de compétences en matière de cybersécurité augmentera à mesure que les menaces liées à l’IA deviendront plus sophistiquées. Néanmoins, la nécessité de disposer d’un personnel plus disponible et plus abordable stimulera la demande de services managés et la consolidation des fournisseurs. Les solutions doivent être hautement personnalisées pour une entreprise donnée, bien intégrées et fournir un panorama unifié et hiérarchisé des endroits où se situe le risque. Quels sont les systèmes exposés, quel est le degré de criticité de la menace et quelle est la capacité de l’organisation à remédier à cette menace ? La validation de cette remédiation sera nécessaire. Cette approche de gestion continue de l’exposition aux menaces (CTEM) préparera les entreprises aux défis qui les attendent en 2024 et au-delà. (Darren James, Chef de produit, Access Risk)

L’agenda des RSSI pour 2024

Différencier et établir des priorités restera le mantra du RSSI. Au cours de l’année, nous avons vu certains risques se démarquer des autres – il s’agissait de services exposés à Internet et les « Zéro-day  ». Le deuxième type est celui des vulnérabilités côté client, lorsqu’une vulnérabilité est mise à jour, mais que le correctif automatisé n’est pas disponible. Nous avons vu le MoveIT File Transfer, les produits Citrix et les solutions Cisco être affectés. Dans les deux cas, il faut savoir ce que l’on exécute dans son environnement, disposer d’une défense en profondeur et être capable de faire la différence entre les vulnérabilités que l’on traite comme des incidents et celles que l’on traite comme des correctifs. Mais il faut s’attendre à ce qu’elles se produisent toutes deux – avec des impacts similaires – et s’assurer que des processus sont bien en place pour gérer ces deux types de vulnérabilités. Par exemple, nous avons constaté trois vulnérabilités graves au cours de la très courte période entre octobre et novembre 2023. Elles permettaient d’impacter les réseaux locaux via les réseaix publics, pouvant laisser penser que les attaquants aient été a l’intérieur des réseaux des victimes. Pourtant, plus de 50 000 organisations ont subi des violations dues à des erreurs ou à un manque de jugement lorsqu’elles ont exposé des interfaces de gestion à Internet. (Martin Jartelius, CISO)

Les entreprises vont (devoir) se pencher sur la cyber-hygiène de base – et il était temps. Sur des millions de mots de passe vérifiés, nous avons constaté que les plus courants en 2023 étaient très similaires à ceux d’il y a 20 ans. Les organisations doivent se familiariser avec les règles élémentaires de la cyber-hygiène, en particulier avec les éléments confrontés à Internet et leurs paramètres par défaut. Pour réduire considérablement la probabilité d’une violation, il est essentiel de comprendre ce que l’on expose aux attaquants – quiconque veut réussir en tant qu’organisation dans le domaine de la sécurité préventive, de la gestion des vulnérabilités ou de la sécurité des applications critiaues devra relever le défi de la gestion de sa surface d’attaque externe. Aucune de ces domaines n’est suffisante en soi, mais les pires incidents que nous avons vus cette année auraient été relativement faciles à éviter et peu coûteux à prévenir si les organisations avaient été conscientes de leur exposition aux risques. L’atténuation efficace des risques avant la compromission coûte beaucoup moins cher que la gestion des incidents. (Martin Jartelius, RSSI)

Confiance zéro – toujours. Le concept de base de la confiance zéro, qui consiste à toujours vérifier qui accède à vos données, va devenir d’une importance capitale car nous allons assister à des attaques d’ingénierie sociale plus personnalisées et à des « deepfakes » de plus en plus convaincants qui essaieront de compromettre nos employés, les services qui les soutiennent et les systèmes et données auxquels ils accèdent. (Darren James, Chef de produit, Access Risk)

Adoption d’une gestion unifiée de l’exposition aux menaces. Les entreprises consolident leurs solutions de gestion relatives à l’exposition aux menaces afin d’être plus souples et de consacrer moins d’efforts et d’argent aux intégrations. Cette tendance s’aligne sur la vision CTEM de Gartner,  selon laquelle les organisations doivent se concentrer plus sur l’exposition aux menaces plutôt que sur les vulnérabilités en continu, au lieu d’être guidées par la conformité à intervalles réguliers. De nombreuses organisations – de toutes tailles – sont submergées par les vulnérabilités, s’appuyant toujours sur CVSS pour établir des priorités et gérant plusieurs outils et fournisseurs pour mener à bien l’atténuation. Les initiatives de réduction des risques et la pression sur les budgets conduiront les RSSI à se concentrer sur davantage de données et de veille afin de prioriser les actifs critiques de l’entreprise avec la découverte de la surface d’attaque et l’automatisation de l’évaluation, puis à utiliser des mesures d’exposition dynamiques et securisées pour conduire les efforts d’atténuation. (Sergio Loureiro, Directeur des produits)

Conclusion

La question tant redoutée que les PDG et le conseil d’administration posent constamment aux RSSI est la suivante : « Sommes-nous en sécurité ? » S’il est difficile de sécuriser son organisation, il l’est encore plus de démontrer la valeur des mesures de sécurités existantes.

Les dirigeants d’entreprise qui ne s’occupent pas de la sécurité perçoivent souvent la cybersécurité comme un problème technique qui ne contribue pas aux résultats de l’entreprise – et c’est au RSSI qu’il incombe de changer cette perception. 

Pour ce faire, les RSSI et les équipes de sécurité ont besoin de deux choses : une vision holistique et unifiée des risques de cybersécurité auxquels l’entreprise est confrontée et l’aptitude de démontrer comment et dans quelle mesure ces risques techniques pourraient affecter les résultats de l’entreprise. 

En 2024, nous nous attendons à ce que de plus en plus de RSSI recherchent des solutions offrant une vision plus holistique des cyber-risques, leur permettant de prioriser leurs mesures de cybersécurité en fonction de l’acceptation des risques par leur entreprise.

Avez-vous des questions ? Contactez-nous !

Parlons de vos objectifs de sécurité et de la façon dont nous pouvons vous aider à les atteindre. Avec Outpost24, vous ferez l’expérience :

  • Du talent de nos experts en sécurité adeptes du piratage éthique
  • D’une API 100 % ouverte pour une intégration facile au sein de vos opérations de sécurité
  • De nos nombreuses années de savoir-faire en matière de piratage et de sécurité informatique que nous avons intégré dans nos solutions d’évaluation de la sécurité, nos tests d’intrusion et notre Threat Intelligence afin d’obtenir les meilleurs résultats
  • D’une automatisation puissante et d’informations de sécurité intégrées pour les équipes de sécurité très sollicitées afin qu’elles puissent comprendre et gérer leurs surfaces d’attaque

Contactez nos experts pour en savoir plus sur la façon d’intensifier vos efforts en matière de cybersécurité en 2024.